Forskere oppdaget en kampanje med GPU-miningmalware som sprer seg gjennom SEO-forgiftning og manipulerte anbefalinger fra AI-chatboter. Angriperne retter seg mot brukere som søker etter populære PC-verktøy som ofte brukes av gamere, utviklere og maskinvareentusiaster.

Microsoft advarte om at operasjonen kombinerer falske programvarenedlastinger, manipulerte søkeresultater og AI-assisterte spredningsteknikker for å infisere systemer med cryptojacking-malware. Kampanjen viser hvordan trusselaktører fortsetter å tilpasse social engineering-metoder til moderne nettvaner og AI-drevne søkeverktøy.

Angripere retter seg mot brukere som søker etter populær programvare

Ifølge Microsoft fokuserer kampanjen på brukere som sannsynligvis eier kraftige datamaskiner med høyytelses GPU-er. Disse systemene genererer større kryptovalutagevinster for angriperne når de først er kompromittert.

Forskere opplyste at de skadelige nettsidene utgir seg for å være legitime nedlastingssider for populære programmer, blant annet:

  • CrystalDiskInfo
  • HWMonitor
  • Display Driver Uninstaller
  • FurMark
  • K-Lite Codec Pack
  • PDFgear

Brukere som søker etter disse programmene kan støte på falske nettsider som blir fremhevet gjennom SEO-forgiftningskampanjer. Når brukere laster ned og kjører installasjonsfilene, installerer malwaren ytterligere skadelige komponenter i bakgrunnen.

Forskere advarte om at de falske nettsidene etterligner legitime programvareportaler svært tett, noe som gjør nedlastingene troverdige ved første øyekast.

AI-chatboter bidro til å spre malwaren

Microsofts forskere opplyste at enkelte ofre fant de skadelige nettsidene gjennom anbefalinger fra AI-chatboter. Brukere som spurte AI-assistenter hvor de kunne laste ned programvare, mottok angivelig lenker til domener kontrollert av angriperne.

Etterforskere mener angriperne manipulerte synlighet og søkerelevans på nettet for å påvirke AI-genererte svar. Kampanjen viser hvordan tradisjonelle SEO-forgiftningsteknikker nå sprer seg til AI-assisterte nettmiljøer.

Forskere advarte også om at mange brukere stoler for mye på AI-genererte anbefalinger uten å kontrollere nedlastingskilder selv.

Operasjonen viser samtidig de økende sikkerhetsrisikoene knyttet til AI-drevne søke- og anbefalingssystemer.

Malwaren bruker legitime verktøy for å beholde tilgang

Forskere opplyste at de skadelige nedlastingene vanligvis leveres som ZIP-arkiver som inneholder legitime programfiler sammen med skadelige DLL-komponenter. Når brukere starter det legitime programmet, laster Windows automatisk den skadelige DLL-filen og starter infeksjonskjeden.

Microsoft forklarte at malwaren installerer det legitime fjernadministrasjonsverktøyet ScreenConnect for å opprettholde permanent tilgang til infiserte systemer. Angriperne kan senere bruke tilgangen til å installere mer malware eller utføre ytterligere skadelige aktiviteter.

Malwaren bruker også flere teknikker for å unngå oppdagelse, blant annet:

  • Process hollowing
  • PowerShell-eksekvering
  • Endringer i Defender-unntak
  • Deteksjon av virtuelle maskiner
  • Kontroller av sikkerhetsverktøy

Forskere opplyste at malwaren injiserer skadelig kode i legitime .NET-prosesser signert av Microsoft for å redusere risikoen for oppdagelse fra sikkerhetsprogramvare.

Cryptojacking-kampanjer fortsetter å utvikle seg

Forskere advarte om at GPU-miningmalware fortsatt er attraktivt for cyberkriminelle grupper fordi infiserte systemer kan generere kryptovalutainntekter over lange perioder uten å vekke mistanke.

I motsetning til ransomware-angrep unngår cryptojacking-operasjoner ofte forstyrrende oppførsel. Angriperne fokuserer i stedet på å forbli skjult samtidig som de bruker GPU-ressurser i bakgrunnen.

Ofre kan merke symptomer som:

  • Tregere systemytelse
  • Høyere GPU-temperaturer
  • Høye kjølevifter
  • Økt strømforbruk
  • Systemustabilitet

Sikkerhetseksperter anbefalte brukere å laste ned programvare kun fra offisielle leverandørnettsteder. Brukere bør også unngå nedlastinger via annonser, mistenkelige søkeresultater eller ubekreftede AI-chatbotlenker.

Konklusjon

Kampanjen med GPU-miningmalware viser hvordan angripere kombinerer SEO-forgiftning og manipulering av AI-chatboter for å spre cryptojacking-malware gjennom falske programvarenedlastinger. Forskere advarte om at operasjonen spesifikt retter seg mot brukere med høyytelses-PC-er som kan generere lønnsom kryptovalutamining.

Microsoft opplyste at brukere bør kontrollere nedlastingskilder nøye og unngå å stole fullt og helt på AI-genererte anbefalinger når de søker etter programvare på nettet. Kampanjen viser også hvordan cyberkriminelle fortsetter å tilpasse tradisjonelle angrepsmetoder til moderne AI-drevne nettmiljøer.


0 responses to “GPU-miningmalware sprer seg gjennom SEO-forgiftning og AI-chatboter”